FRP-Port-Anleitung: Reverse-Proxy-Tunnel auf Port 7000

FRP hat eine Serverseite namens frps und eine Clientseite namens frpc. frps läuft auf einer Maschine mit einer erreichbaren öffentlichen Adresse. frpc wird in der Nähe des privaten Dienstes ausgeführt, stellt eine Verbindung nach außen zu frps her, authentifiziert sich und fordert frps auf, einen lokalen Dienst über einen konfigurierten Proxy verfügbar zu machen.

Dieses Modell ist nützlich, wenn ein Heimlabor, eine Zweigstelle, ein Gerät, eine Testumgebung oder ein privater Netzwerkdienst vorübergehenden oder kontrollierten externen Zugriff benötigt. Es bedeutet auch, dass frps zu einem mit dem Internet verbundenen Edge wird, sodass Token, TLS, ACLs, Protokolle und Service-Scoping genauso wichtig sind wie der Port selbst.

TCP 7000 wird üblicherweise als frps bind_port verwendet, wo frpc die Steuerverbindung herstellt. Der HTTP- und HTTPS-Reverse-Proxy-Modus verwendet möglicherweise vhost_http_port und vhost_https_port, häufig 80 und 443. TCP- und UDP-Proxy-Zuordnungen können benutzerdefinierte Remote-Ports verfügbar machen, mit denen Benutzer direkt eine Verbindung herstellen.

FRP kann je nach Konfiguration auch ein Dashboard, einen Metrik-Endpunkt oder eine Admin-Schnittstelle verfügbar machen. Diese Verwaltungsports sollten nicht wie öffentliche Anwendungsports behandelt werden. Beschränken Sie sie auf vertrauenswürdige IPs, VPN, Localhost oder private Netzwerke.

Öffnen Sie den FrPS-Bind-Port, wenn vertrauenswürdige FrPC-Clients Tunnel von privaten Netzwerken registrieren müssen. Öffnen Sie benutzerseitige Remote-Ports nur für die Dienste, die Sie absichtlich veröffentlichen, z. B. eine Web-App-Vorschau, SSH-Zugriff über einen kontrollierten Tunnel, einen Webhook-Empfänger oder einen Spieleserver.

Legen Sie keine breiten Portbereiche oder Verwaltungsschnittstellen offen, nur weil FRP es einfach macht. Jeder Remote-Port ist ein öffentlicher Zugangspunkt zu etwas hinter dem Tunnel, und jede Zuordnung sollte einen Besitzer, einen Zweck, eine Zugriffsrichtlinie und ein Entfernungsdatum haben, wenn sie vorübergehend ist.

Bevor Sie Port 7000 zulassen, entscheiden Sie, welche Clients eine Verbindung herstellen dürfen, welche Proxy-Typen zulässig sind, welche Remote-Ports registriert werden können und ob der Datenverkehr TLS verwenden soll. Überprüfen Sie Authentifizierungstoken oder OIDC-Einstellungen, Client-Benennung und ob eine Rechteausweitung über beliebige Remote-Ports möglich ist.

Ein Portprüfer kann bestätigen, ob der FRP-Bindungsport oder ein veröffentlichter Remote-Port erreichbar ist, er kann jedoch nicht nachweisen, dass die FRP-Authentifizierung, der Routenbesitz oder die Sicherheit des Backend-Dienstes korrekt sind. Überprüfen Sie sowohl den Tunnelsteuerungspfad als auch das exponierte Anwendungsverhalten.

Führen Sie frps auf einem Cloud-Server mit einer festen öffentlichen IP oder einem stabilen DNS-Namen aus, lassen Sie nur den erforderlichen Bindungsport und die veröffentlichten Dienstports zu und halten Sie den Dashboard- oder Administratorzugriff privat. Stellen Sie HTTP- und HTTPS-Verkehr nach Möglichkeit hinter normales TLS und hostbasiertes Routing ein.

Führen Sie frpc auf Linux- oder Windows-Clients als Dienst in der Nähe der privaten Anwendung aus. Konfigurieren Sie local_ip, local_port, Proxy-Typ, remote_port oder benutzerdefinierte Domäne und Anmeldeinformationen sorgfältig. Vermeiden Sie die Wiederverwendung desselben Tokens in unabhängigen Umgebungen.

Wenn FRP für den produktionsähnlichen Zugriff verwendet wird, fügen Sie Prozessüberwachung, Protokollaufbewahrung, Überwachung, Zertifikatserneuerung und Änderungskontrolle hinzu. Ein Tunnel, der zunächst als Annehmlichkeit dient, kann schneller als erwartet zu einer kritischen Infrastruktur werden.

Beginnen Sie mit einer externen Portprüfung anhand des öffentlichen FRP-Hostnamens oder der öffentlichen FRP-IP und des Ports 7000. Wenn dieser geöffnet ist, können FPC-Clients möglicherweise den Steuerungs-Listener erreichen. Überprüfen Sie dann die FrPS- und FrPC-Protokolle, um die Authentifizierung, die Proxy-Registrierung und den Heartbeat-Status zu bestätigen.

Als nächstes testen Sie den veröffentlichten Dienst selbst. Verwenden Sie für HTTP- oder HTTPS-Tunnel Curl oder einen Browser für die öffentliche Domäne. Stellen Sie bei TCP-Tunneln eine Verbindung zum konfigurierten Remote-Port mit dem echten Client her. Ein fehlerfreier Steuerungsport garantiert nicht, dass die Backend-Anwendung oder die Remote-Port-Zuordnung funktioniert.

Wenn Port 7000 geschlossen ist, wird frps möglicherweise nicht ausgeführt, ist möglicherweise an localhost gebunden oder wird möglicherweise von der Host-Firewall oder der Cloud-Sicherheitsgruppe blockiert. Wenn frpc keine Verbindung herstellen kann, überprüfen Sie auch DNS, server_addr, bind_port, TLS-Einstellungen, Token-Nichtübereinstimmung und Netzwerkausgangsregeln auf der Clientseite.

Wenn die Steuerverbindung funktioniert, der Dienst aber nicht erreichbar ist, überprüfen Sie Remote_Port-Konflikte, Vhost-Domänenrouting, HTTP-Host-Header, lokale Dienst-Listener, NAT auf der Frpc-Seite und die FrPS-Allow_Ports-Richtlinie. Viele FRP-Probleme treten nach der Registrierung des Tunnels auf, nicht bei der ersten Portprüfung.

Behandeln Sie frps als öffentliches Gateway. Verwenden Sie eine starke Authentifizierung, rotieren Sie Token, beschränken Sie zulässige Ports, deaktivieren Sie nicht verwendete Proxy-Typen, schützen Sie Dashboards und protokollieren Sie Clientverbindungen und Proxy-Registrierungen. Stellen Sie interne Verwaltungstools nicht über FRP ohne eine zusätzliche Authentifizierungsebene zur Verfügung.

Platzieren Sie FRP für sensible Dienste hinter einem VPN, einem identitätsbewussten Proxy, einem mTLS, einer Firewall-Zulassungsliste oder einem Reverse-Proxy mit Ratenbegrenzung. Überprüfen Sie regelmäßig aktive Tunnel und entfernen Sie Zuordnungen, die keinen klaren Eigentümer oder Geschäftszweck mehr haben.